Совместимости
VPN-продукты ЗАСТАВА совместимы с протоколом SKIP v.1-2 и с продуктами всех производителей, поддерживающих этот стандарт: SUN Microsystems, CheckPoint и т.д. В 3-й версии VPN ЗАСТАВА дополняется утвержденным в ноябре 1998 окончательным стандартом управления ключами IPsec: протоколом IKE (бывший ISAKMP/Oakley).
VPN-продукты ЗАСТАВА совместимы с общепринятыми системами управления сертификатами (PKI), поскольку:
-
ипользуют сертификаты X.509 версии 3 для аутентификации защищаемых сетевых объектов, ыданные специализирующимися в области PKI организациями;
-
поддерживают проверку цепочки доверия сертификатов при использовании многоуровневых структур PKI с большим количеством «нотариусов».
-
сервер сертификатов ЗАСТАВА может автоматически получать сертификаты открытых ключей по LDAP протоколу от внешних PKI систем и служб каталогов, поддерживающих X.509 сертификаты с DH параметрами.
VPN ЗАСТАВА обеспечивает автоматическое распределение сертификатов между VPN-устройствами с помощью CDP протокола как при прямом взаимодействии VPN устройств так и через выделенный Сервер сертификатов ЗАСТАВА.
Продукты сетевой защиты ЗАСТАВА совместимы с любыми сетевыми протоколами 2-го уровня. Полномасштабные испытания прошли такие протоколы как: Ethernet, FastEthernet, SLIP, PPP, Token Ring, 100VG/AnyLAN.
Средства аутентификации пользователей
Продукты VPN ЗАСТАВА поддерживают развитые средства аутентификации пользователей и администраторов безопасности, получающих доступ к VPN-устройствам. Аутентификация осуществляется одним из трех способов:
-
с помощью пароля;
-
с помощью устройств SecurID;
-
с помощью смарт-карт (а также любых других токен-устройств, или даже дискет), поддерживающих стандартный интерфейс PKCS#11.
В последнем, наиболее удобном и надежном, варианте ЗАСТАВА-Корпоративный клиент контролирует присутствие смарт-карты в устройстве чтения – после извлечения смарт-карты пользователь автоматически отключается от VPN. Одновременно с этим из памяти компьютера удаляется его локальная политика безопасности. Таким образом, данное VPN-устройство обеспечивает не только аутентификацию пользователя, но и надежный контроль за его присутствием.
Защита данных в продуктах застава
VPN-продукты ЗАСТАВА обеспечивают регулируемую стойкость защиты данных, вплоть до 256 битных ключей. Для этого используются внешние по отношению к VPN ЗАСТАВА криптомодули, работающие по открытому интерфейсу OpenCryptoAPI.
Открытый интерфейс Open CryptoAPI реализован компанией ЭЛВИС+ для обеспечения возможности выноса всех криптоопераций во внешние криптомодули, которые поставляют организации, специализирующиеся в области криптографии.
Отсутствие встроенных криптографических функций исключает проблему легального использования VPN ЗАСТАВА в любой стране, а также экспортно-импортные ограничения.
Имеется возможность создавать каналы разной степени защищенности, от полностью открытых до криптографически защищенных и аутентифицированных позволяет реализовывать сколь угодно гибкую политику сетевой безопасности в соответствии с потребностями конкретной компании. Например, возможны следующие режимы работы.
-
Жесткий режим. Закрытый жесткий периметр корпоративной VPN, полностью закрывает пользователей от внешних сетей, через которые они работают.
-
Средний режим. Наличие в продуктом ряде Межсетевого Экрана ЗАСТАВА позволяет успешно сочетать использование жесткого периметра корпоративной VPN и строго ограниченного числа жестко контролируемых МЭ точек доступа в открытые сети (Internet).
-
Мягкий режим. Любое из VPN устройств способно поддерживать одновременно открытые и закрытые соединения, не ограничивая пользователей в их работе с внешними сетями, закрывая только отдельные маршруты с конфиденциальной информацией.
VPN ЗАСТАВА защищает сеть от большинства сетевых атак, «сбрасывая» чужие пакеты еще до того, как они достигнут уровня IP на принимающем компьютере. В защищаемый компьютер или сеть могут войти только пакеты от зарегистрированных партнеров по взаимодействию.
VPN ЗАСТАВА обеспечивает:
-
аутентификацию – доказательство отправки пакетов вашим партнером по взаимодействию, т.е. обладателем разделяемого секрета;
-
целостность – невозможность изменения данных в пакете;
-
конфиденциальность – невозможность раскрытия передаваемых данных;
-
надежное управление ключами – протокол SKIP вычисляет 1024 битный разделяемый секрет, известный только получателю и отправителю пакета;
-
туннелирование – полную маскировку топологии локальной сети предприятия.
Примечание
Подробнее о продуктах семейства ЗАСТАВА читайте в файле-приложении к лабораторной работе:
VPN_3ACTABA_2_5_2000.pdf
ЗАСТАВА-Персональный клиент
Программный продукты ЗАСТАВА-Персональный Клиент обеспечивает защиту пользовательских рабочих станций от несанкционированного доступа из внешних сетей, а также организовать защищенные соединения (ассоциации) с отдельными компьютерами или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА или SKIP-продуктами других производителей.
ЗАСТАВА-Персональный Клиент поставляется как программный пакет, который устанавливается на компьютере пользователя. Перенастройки работающего на этом компьютере программного обеспечения не требуется
При использовании продукта ЗАСТАВА-Персональный Клиент политика информационной безопасности задается самим пользователем с помощью набора конфигурационных правил посредством интерфейса командной строки (только для версии под Solaris) или графического интерфейса пользователя.
Программный продукт ЗАСТАВА-Персональный Клиент обеспечивает:
-
контроль списка партнеров по защищенному или незащищенному взаимодействию;
-
защиту информационных ресурсов компьютера от несанкционированного доступа из внешних сетей;
-
реализацию заданной дисциплины взаимодействия (аутентификацию или защиту трафика) для каждого защищенного соединения;
-
доступ в заданном защищенном режиме только для зарегистрированных партнеров по взаимодействию;
-
регулируемую стойкость защиты трафика;
-
коммуникационную совместимость с системами защиты, использующими программные продукты семейства ЗАСТАВА или SKIP-продукты других производителей.